查看密钥策略 - Amazon Key Management Service
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

查看密钥策略

您可以查看密钥策略Amazon KMS 客户托管 CMKAmazon托管 CMK在账户中使用Amazon Web Services Management Console或GetKeyPolicy中的操作Amazon KMSAPI。但这些技术不能用于查看其他 Amazon Web Services 账户 。

要了解有关 Amazon KMS 密钥策略的更多信息,请参阅使用 Amazon KMS 中的密钥策略。要了解如何确定哪些用户和角色有权访问 CMK,请参阅确定对 Amazon KMS 客户主密钥的访问权限

查看密钥策略(控制台)

授权用户可以查看Amazon托管 CMK客户托管 CMK密钥策略选项卡Amazon Web Services Management Console。

要在 Amazon Web Services Management Console中查看 CMK 的密钥策略,必须具备 kms:ListAliaseskms:DescribeKeykms:GetKeyPolicy 权限。

  1. 登录到Amazon Web Services Management Console,然后打开Amazon Key Management Service(Amazon KMS) 控制台https://console.aws.amazon.com/kms

  2. 要更改AmazonRegion,请使用页面右上角的 Region selector (区域选择器)。

  3. 要查看您帐户中的密钥Amazon为您创建和管理,请在导航窗格中,选择Amazon托管密钥。要查看您账户中自己所创建和管理的密钥,请在导航窗格中选择 Customer managed keys (客户托管密钥).

  4. 在 CMK 的列表中,选择要检查的 CMK 的别名或密钥 ID。

  5. 选择 Key policy (密钥策略) 选项卡。

    在存储库的密钥策略选项卡上,您可能会看到密钥策略文档。这是策略视图。在密钥策略语句中,可以看到由密钥策略授予 CMK 访问权限的委托人,还可以看到他们能执行的操作。

    以下示例显示了默认密钥策略的策略视图。

    
                        查看默认密钥策略策略视图中的Amazon KMS控制台

    或者,如果 CMK 是在 Amazon Web Services Management Console中创建的,那么您将看到默认视图,其中包含 Key administrators (密钥管理员)Key deletion (密钥删除)Key Users (密钥用户) 几个部分。要查看密钥策略文档,请选择 Switch to policy view (切换到策略视图)

    以下示例显示了默认密钥策略的默认视图。

    
                        查看默认密钥策略默认视图中的Amazon KMS控制台

查看密钥策略 (Amazon KMSAPI)

要获取密钥策略,请参阅Amazon托管 CMK客户托管 CMK中的 Amazon Web Services 账户 ,请使用GetKeyPolicy中的操作Amazon KMSAPI。此操作不能用于查看其他帐户中的密钥策略。

以下示例使用get-KeyPolicy命令中的Amazon Command Line Interface(Amazon CLI),但您可以使用任何Amazon软件开发工具包提出此请求。

请注意,PolicyName 参数是必需的,即使其唯一的有效值为 default。此外,此命令请求以文本而不是 JSON 形式输出,以便更易于查看。

在运行此命令之前,请将示例密钥 ID 替换为您账户中的有效密钥 ID。

$ aws kms get-key-policy --key-id 1234abcd-12ab-34cd-56ef-1234567890ab --policy-name default --output text

响应应类似于下图,返回默认密钥策略

{ "Version" : "2012-10-17", "Id" : "key-consolepolicy-3", "Statement" : [ { "Sid" : "Enable IAM policies", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : "kms:*", "Resource" : "*" } ] }